Por que agentes de IA não devem possuir chaves privadas: a Agentic Wallet da Coinbase reescreve a pilha de finanças autônomas
No ano passado, um sofisticado ataque à cadeia de suprimentos visou o próprio repositório AgentKit da Coinbase no GitHub. Um invasor obteve permissões de gravação na base de código — o mesmo kit de ferramentas que os desenvolvedores estavam usando para incorporar chaves privadas diretamente dentro de agentes de IA. O ataque foi detectado antes que qualquer dano ocorresse, mas revelou uma verdade desconfortável que toda a indústria vinha ignorando: construir agentes financeiros autônomos que mantêm suas próprias chaves criptográficas é uma bomba-relógio.
Em fevereiro de 2026, a Coinbase estabeleceu um limite com o lançamento das Agentic Wallets (Carteiras Agênticas) — uma arquitetura fundamentalmente diferente que separa totalmente a custódia da carteira da lógica do agente. A mudança sinaliza mais do que uma atualização de produto. É o reconhecimento de que a primeira geração de design de carteiras para agentes de IA estava falha em seu nível básico, e a indústria está agora correndo para consertá-la antes que um incidente de segurança de US 450 milhões.
O Pecado Original: Agentes Mantendo Suas Próprias Chaves
Para entender por que a mudança arquitetônica da Coinbase é importante, você precisa entender como a primeira geração de carteiras de agentes realmente funcionava.
O AgentKit, o kit de ferramentas original para desenvolvedores da Coinbase, dava aos agentes de IA uma "carteira" ao incorporar o gerenciamento de chaves privadas diretamente no código do agente. O agente detinha as chaves. O agente assinava as transações. O agente tinha acesso total e sem mediação aos fundos que controlava.
Este design era sedutoramente simples para os desenvolvedores — bastava chamar wallet.transfer() e o agente movimentava o dinheiro. Mas isso criou o que os pesquisadores de segurança agora chamam de "superfície de ataque de último recurso": se você pudesse comprometer o raciocínio do agente por meio de uma injeção de prompt (prompt injection), poderia esvaziar sua carteira.
Ataques de injeção de prompt funcionam ao inserir instruções maliciosas em um agente por meio de canais aparentemente legítimos — uma página da web que o agente visita, uma resposta de uma API que ele chama, ou até mesmo um documento cuidadosamente elaborado que ele processa. Um agente que mantém suas próprias chaves privadas está a apenas uma injeção de prompt bem-sucedida de enviar tudo o que possui para um endereço controlado pelo invasor.
Em 2026, isso não era um risco teórico. Empresas de segurança relataram que 88 % das organizações que implementaram agentes de IA autônomos sofreram um incidente de segurança confirmado ou suspeito. Fraquezas no nível do protocolo desencadearam mais de US$ 45 milhões em perdas ligadas a agentes de negociação de IA autônomos. O vetor de ataque mais perigoso em quase todos os casos: injeção de prompt visando roubar fundos de agentes que mantinham suas próprias chaves.
A Mudança para a Carteira Agêntica: Abstraindo Chaves em TEEs
A resposta da Coinbase foi tomar uma decisão arquitetônica que parece óbvia em retrospecto: os agentes nunca devem tocar em chaves privadas.
A Carteira Agêntica introduz um modelo fundamentalmente diferente. Em vez de incorporar o gerenciamento de chaves no código do agente, as chaves privadas residem exclusivamente dentro de Ambientes de Execução Confiáveis (TEEs) — enclaves de hardware especializados no nível de infraestrutura da Coinbase que são criptograficamente isolados de tudo o mais, incluindo os próprios servidores da Coinbase.
Quando um agente de IA precisa assinar uma transação, ele não acessa uma chave. Ele envia uma solicitação de autorização ao TEE, que realiza a operação de assinatura isoladamente e retorna apenas a transação assinada. A chave privada nunca sai do enclave. O LLM do agente nunca a vê. Um invasor que comprometa totalmente a camada de raciocínio do agente ainda assim não conseguirá extrair a chave.
A equipe de segurança da Coinbase descreve o sistema como "várias ordens de magnitude mais seguro do que apenas ter uma chave privada em disco". Isso não é linguagem de marketing — é um salto arquitetônico genuíno. A implementação da v2 Server Wallet garante que as chaves privadas da conta sejam "criptografadas e descriptografadas exclusivamente dentro do enclave e nunca saiam do TEE".
A mudança também altera a experiência do desenvolvedor. Em vez de integrar o gerenciamento de chaves no código do agente, os desenvolvedores acessam as Carteiras Agênticas por meio de uma CLI ou via Model Context Protocol (MCP) — o mesmo padrão de interface que permite que modelos de IA se conectem a ferramentas externas. Um agente obtém uma carteira da mesma forma que obtém acesso a uma ferramenta de busca na web ou a uma consulta de banco de dados: por meio de uma interface padronizada que lida com a complexidade subjacente.
O Protocolo x402: Como os Agentes Pagam uns aos Outros
Uma carteira sem um padrão de pagamento é apenas um cofre. A outra metade da visão de finanças autônomas da Coinbase é o x402 — um protocolo aberto que revive o código de status HTTP 402 "Payment Required" para permitir pagamentos em tempo real com stablecoins entre agentes.
O mecanismo é direto, mas elegante: quando um agente de IA solicita um serviço que requer pagamento, o servidor responde com HTTP 402 e uma especificação de pagamento. O agente avalia o custo, executa um micropagamento de USDC on-chain por meio de sua Carteira Agêntica e reenvia a solicitação com um comprovante de pagamento. Toda a troca acontece em segundos, com custos de transação de aproximadamente US$ 0,0001 e liquidação em menos de 2 segundos.
Desde seu lançamento em maio de 2025, o x402 processou mais de 50 milhões de transações, com a Solana representando aproximadamente 65 % do volume de pagamentos agênticos. A Cloudflare fez uma parceria com a Coinbase para estabelecer a x402 Foundation, com uma especificação v1.0 prevista para o terceiro trimestre de 2026, após a qual garantias de compatibilidade reversa serão aplicadas.
A implicação prática é significativa: pela primeira vez, os agentes de IA têm uma maneira padronizada de pagar por serviços — não entregando um cartão de crédito ou token OAuth que um humano gerencia, mas executando pagamentos autônomos de stablecoins por meio de uma arquitetura de carteira que mantém as chaves fora das mãos do agente. É isso que o "comércio agente-a-agente" realmente exige na prática.
Quatro Visões Concorrentes para Carteiras Seguras para Agentes
A Coinbase não é a única equipe pensando neste problema. Os últimos seis meses produziram pelo menos quatro abordagens arquitetônicas distintas para a segurança de carteiras de agentes, cada uma refletindo um conjunto diferente de compensações:
Coinbase Agentic Wallet (Backend TEE): As chaves residem em enclaves de hardware, completamente isoladas da lógica do agente. Os agentes autorizam transações por meio de uma camada de protocolo sem nunca acessar o material criptográfico. Ideal para: operações autônomas de alto valor onde o isolamento das chaves é inegociável.
MoonPay + Ledger (Execução Verificada por Humanos): Agentes de IA lidam com pesquisa, análise de portfólio e construção de negociações, mas cada transação on-chain requer confirmação física em um dispositivo de hardware Ledger. A MoonPay também lançou o Open Wallet Standard (OWS) — uma estrutura de código aberto apoiada por PayPal, Circle, Ethereum Foundation e Solana Foundation — projetada para dar aos agentes uma interface consistente para manter fundos em várias redes. Ideal para: fluxos de trabalho híbridos humano-IA onde a aprovação humana permanece obrigatória.
MetaMask + EIP-7702 (Chaves de Sessão com Escopo): O EIP-7702 permite que contas padrão de propriedade externa (EOAs) atuem temporariamente como carteiras de contratos inteligentes, permitindo ações de agentes pré-autorizadas dentro de limites definidos — limites de tempo, tetos de gastos, endereços aprovados. O modelo de "chave de manobrista": o agente pode dirigir, mas apenas abaixo de 40 km/h e não pode abrir o porta-malas. Ideal para: agentes voltados ao consumidor onde os usuários desejam autonomia parcial sem transferência total de custódia.
Human.tech Agentic WaaP (Supervisão Humana ao Nível de Protocolo): Em vez de adicionar a supervisão à infraestrutura de carteira existente, a abordagem "Wallet as a Protocol" da Human.tech constrói limites de aprovação humana criptográfica diretamente na arquitetura. Um mecanismo de política aplica pontos de verificação com intervenção humana para ações de alto risco no nível do protocolo, não no nível da aplicação. Ideal para: ambientes corporativos onde a conformidade exige supervisão humana auditável.
Cada abordagem reflete uma percepção real sobre onde o risco realmente reside. A Coinbase otimiza para a operação autônoma com máxima segurança de chaves. O OWS da MoonPay otimiza para interoperabilidade e confiança humana. As chaves de sessão da MetaMask otimizam para uma experiência de usuário (UX) familiar sem transferência total de custódia. A Human.tech otimiza para conformidade regulatória e auditabilidade corporativa.
Por que Esta Arquitetura é Importante para a Superfície de Ataque de $ 45 Mi
Os US$ 45 milhões em incidentes de segurança de agentes de IA em 2026 não foram causados por ataques criptográficos sofisticados. Foram causados por injeção de prompt — invasores enviando instruções maliciosas para agentes que tinham acesso não mediado aos seus próprios fundos.
A arquitetura de Carteira Agêntica (Agentic Wallet) quebra o link direto entre o raciocínio do agente e o acesso às chaves. Mesmo que um invasor manipule com sucesso um agente para tentar esvaziar sua carteira, a arquitetura baseada em TEE significa que o agente não pode fazer isso unilateralmente — ele só pode emitir transações assinadas para valores e endereços dentro de sua política de autorização configurada.
Este padrão de design provavelmente se tornará o padrão de segurança mínimo viável para qualquer agente financeiro autônomo que gerencie valores significativos. A questão não é se devemos separar a lógica do agente do gerenciamento de chaves — a resposta de US$ 45 milhões para isso já foi dada. A questão é qual arquitetura de separação vencerá à medida que o ecossistema amadurecer.
As Implicações para a Infraestrutura de Desenvolvedores
A mudança do modelo de chave incorporada do AgentKit para o acesso baseado em protocolo da Agentic Wallet representa um amadurecimento mais amplo na forma como os agentes de IA interagem com a infraestrutura blockchain. Os agentes estão evoluindo de scripts experimentais com carteiras acopladas para consumidores de infraestrutura de primeira classe com interfaces sofisticadas e padronizadas.
Isso cria novos requisitos em toda a pilha tecnológica. Os agentes precisam de acesso confiável e de baixa latência aos dados de estado da rede para tomar decisões de autorização, monitorar suas carteiras e executar operações complexas de várias etapas. Eles precisam de APIs que possam lidar não apenas com taxas de requisição humanas, mas com o throughput muito maior de interações programáticas autônomas — mais de 123.000 agentes de IA implantados apenas na BNB Chain.
O surgimento de interfaces padronizadas de carteira de agentes (MCP, x402, OWS) espelha como as APIs REST padronizaram o desenvolvimento web nos anos 2000. Uma vez que existe uma interface padrão, a camada de infraestrutura abaixo dela pode ser otimizada independentemente da camada de aplicação acima dela.
A BlockEden.xyz fornece infraestrutura de API de nível empresarial em mais de 200 redes blockchain — a camada de dados que os agentes autônomos precisam para estado da rede em tempo real, monitoramento de transações e operações multi-chain. Explore nosso marketplace de APIs para construir infraestrutura de agentes em bases projetadas para acesso em velocidade de máquina.
O Que Vem a Seguir
A pergunta fundamental com a qual a indústria está lidando agora é se arquiteturas baseadas em TEE, como a Agentic Wallet da Coinbase, se tornarão o padrão, ou se abordagens mais leves, como chaves de sessão e limites de aprovação humana, dominarão para diferentes casos de uso.
A resposta provavelmente será "todas as anteriores". Operações autônomas de alto valor — DeFi institucional, liquidação cross-chain, gestão de tesouraria corporativa — convergirão para arquiteturas TEE que fornecem as garantias mais fortes de isolamento de chaves. Agentes voltados para o consumidor gravitarão em torno de modelos de chaves de sessão que mantêm padrões familiares de controle do usuário. Implantações corporativas sensíveis à conformidade adotarão arquiteturas do estilo WaaP com supervisão humana auditável integrada.
O que já está claro é que a abordagem original de "apenas dar ao agente uma chave privada" acabou. Os US$ 45 milhões em incidentes de 2026, o ataque à cadeia de suprimentos do GitHub visando o AgentKit e a própria mudança arquitetônica da Coinbase entregaram coletivamente o veredito: agentes financeiros autônomos e chaves privadas desprotegidas são uma arquitetura destinada ao fracasso.
Os agentes estão chegando. A questão é se as carteiras que eles usam estão prontas.
Fontes: Lançamento das Agentic Wallets da Coinbase · Documentação de Segurança CDP da Coinbase · Protocolo x402 · Fundação Cloudflare x402 · Open Wallet Standard da MoonPay · Human.tech Agentic WaaP · Relatório de violação de segurança de agentes de IA da KuCoin